近日,国外网络安全公司研究人员做了一项蜜罐检测研究,检测结果显示最近黑客在互联网上大规模扫描以太坊挖矿设备,并且使用默认SSH凭证来访问矿机,替换用户设置好的以太坊钱包地址,以此来窃取用户设备的挖矿收益。
根据该公司的蜜罐日志显示,黑客使用了两个罕见SSH用户名及密码ethos:live和root:live,而根据后续追踪调查结果显示,ethos:live和root:live这两个凭证组合源自于ethOS,ethOS是一款基于64位Linux的系统,专门用于挖矿。攻击者在扫描出这些挖矿设备后,使用凭证访问这些矿机,随后用自己的钱包ID替换掉了用户的以太坊钱包地址,使得挖矿设备之后的收益全部流入攻击者的腰包。事发后ethOS团队表示,目前有超过3.8万台挖矿设备在运行该系统,但并不是所有的系统都会受影响,如果设备所有人修改了ethOS系统的默认凭证,并将挖矿设备放置于防火墙后就能够预防进一步的攻击。
在此前,9月份安全公司发现黑客在互联网中搜索未打补丁的IIS 6.0服务器来安装门罗币矿机,并从中获益价值6.3万美元门罗币。今年8月底有安全专家发现超过3000个挖矿设备的Telnet端口暴露在互联网中,并且未设置密码,大多数位于中国。4月份Bitmain Antminer加密货币挖矿机被曝其固件存在隐藏后门。不久前卡巴斯基也揭示黑客组织使用CryptoShuffler木马监控电脑剪切板,替换比特币设备加密货币钱包ID获利超过15万美元。很显然,上述事件无不昭示着,价格昂贵的挖矿设备的持有者并没有足够的安全意识来保证自身的利益安全,希望这些事件能够给设备持有者敲响警钟。